无法管理或删除通过 Azure Active Directory 同步工具同步的对象

本文介绍了无法从Microsoft Entra ID管理或删除通过目录同步创建的对象的问题。 它根据不同原因为此问题提供了两种解决方法。

原始产品版本： 云服务（Web 角色/辅助角色）、Microsoft Entra ID、Microsoft Intune、Azure 备份、Office 365 标识管理
原始 KB 编号： 2619062

症状

尝试从 Microsoft Entra ID 手动管理或删除通过目录同步创建的对象：

例如，你想要从本地 Active Directory 域服务 (AD DS) 中删除已同步到Microsoft Entra ID的孤立用户帐户。

在此方案中，无法使用 Office 365、Azure 或 Microsoft Intune 中的 Microsoft 云服务门户或使用 Windows PowerShell 删除孤立的用户帐户。

原因

如果满足以下一个或多个条件，则可能会出现此问题：

• 本地 AD DS 不再可用。 因此，无法在本地环境中管理或删除对象。
• 你从本地 AD DS 中删除了对象。 但是，该对象未从云服务组织中删除。 此行为是意外的。

解决方案

本地 AD DS 不再可用。 因此，无法从本地环境中管理或删除对象

你希望管理 Office 365、Azure 或 Intune 中的对象，并且不再需要使用目录同步。

1. 如果您运行的不是 Windows 10，则请安装 64 位版 Microsoft Online Services 登录助手：适用于 IT 专业人员 RTW 的 Microsoft Online Services 登录助手。

2. 安装用于Windows PowerShell的 Microsoft Azure Active Directory 模块：

   1. 打开提升的 Windows PowerShell 命令提示符（以管理员身份运行 Windows PowerShell）。
   2. 运行 Install-Module MSOnline 命令。

3. 通过运行以下命令禁用目录同步：

    Set-MsolDirSyncEnabled -EnableDirSync $false
   

4. 使用 Windows PowerShell检查目录同步是否已完全禁用。 为此，请定期运行以下命令：

    (Get-MSOLCompanyInformation).DirectorySynchronizationEnabled
   

   此命令将返回 True 或 False。 继续定期运行此命令，直到返回 False，然后转到下一步。

   这可能要花费 72 小时完成停用。 时间取决于云服务订阅帐户中的对象数。

5. 尝试使用 Windows PowerShell 或使用云服务门户更新对象。

   步骤 4 可能需要一段时间才能完成。 云服务环境中有一个用于计算属性值的进程。 必须先完成该过程，然后才能使用 Windows PowerShell 或使用云服务门户更改对象。

从本地 AD DS 中删除对象。 但是，对象不会从云服务订阅帐户中删除

使用本文中的步骤强制目录同步： 启动计划程序

• 如果某些更新和删除已传播，但某些删除未同步到云服务，请遵循典型的目录同步故障排除过程。

• 如果所有更新和删除未同步到云服务，请联系支持人员。

  注意

  作为此方案的替代解决方法，可以在云服务中手动删除对象。 但是，无法在云服务中更新 对象。 有关如何解决此问题的详细信息，请参阅以下 Microsoft 知识库文章：使用 Azure Active Directory 同步工具时，对象删除不会同步到 Microsoft Entra ID。  

更多信息

若要重新启用目录同步，请运行以下命令：

Set-MsolDirSyncEnabled -EnableDirSync $true

重新启用目录同步时，请务必仔细规划。 如果使用云服务门户或Windows PowerShell直接对最初从本地 AD DS 同步的对象进行任何更改，则重新启用目录同步后首次同步时，本地属性和设置将覆盖更改。

联系我们寻求帮助

如果你有任何疑问或需要帮助，请创建支持请求或联系 Azure 社区支持。 还可以向 Azure 反馈社区提交产品反馈。